noayaConnexion ↗

/ legal · noaya

Confidentialité.

/ Dernière mise à jour : 5 mai 2026

Cette politique explique comment Noaya (le « Service ») collecte, utilise, protège et partage les données personnelles et professionnelles de ses utilisateurs (les « Marchands ») et des intégrations connectées (Shopify, Google Ads, Meta Ads, Google Analytics, etc.). Elle est conforme au RGPD et aux Google API Services User Data Policy.

1. Responsable du traitement

Le responsable du traitement est Nadya Jahan, entrepreneure individuelle exerçant sous le nom commercial Noaya, immatriculée au RNE sous le SIREN 511 197 204 (SIRET du siège 511 197 204 00049, code APE 7021Z, TVA intracommunautaire FR90511197204), entreprise créée le 1er mars 2019, domiciliée à Paris, France.

Contact général : hello@noaya.app. Contact dédié protection des données : privacy@noaya.app.

Pour exercer tes droits ou signaler un incident de sécurité, écris à privacy@noaya.app. Réponse sous 30 jours.

2. Données collectées

Données de compte

  • Email, prénom, nom (création de compte)
  • Nom de l'organisation, secteur d'activité
  • Mot de passe haché (jamais stocké en clair)

Données issues des intégrations connectées

Lorsque tu connectes un service externe via OAuth, Noaya importe et stocke uniquement les données nécessaires au fonctionnement de ses agents IA. Chaque scope est rattaché à une finalité unique.

  • Shopify (read-only). Scopes read_orders, read_products, read_inventory, read_locations, read_customers. Finalité : tableaux de bord ventes, analyse produit, suivi stock, segmentation client pour les agents Track, Plan, Build et Convert. Conformité Shopify Protected Customer Data appliquée : chiffrement at-rest et in-transit, RLS Postgres, journalisation des accès, durée de rétention limitée à la durée du contrat plus 30 jours. Pas de read_all_orders : Noaya se limite aux 60 derniers jours d'orders, suffisant pour les briefs quotidiens et 90 % des analyses Track.
  • Meta Ads (read-only). Scope ads_read. Finalité : insights de campagnes pour l'agent Attract. Données transférées vers les États-Unis (Meta Platforms) sous le cadre EU-US Data Privacy Framework et des Clauses Contractuelles Types. Instructions de suppression : privacy@noaya.app ou via la déconnexion de l'intégration depuis ton dashboard.
  • Google Ads (read-only). Scope https://www.googleapis.com/auth/adwords utilisé exclusivement en lecture via requêtes GAQL. Finalité : reporting campagnes pour Attract.
  • Google Analytics 4 (read-only). Scope https://www.googleapis.com/auth/analytics.readonly. Finalité : sessions, conversions et attribution pour Track et Convert.
  • Google Calendar (read-only). Scope https://www.googleapis.com/auth/calendar.readonly. Finalité : contextualiser les briefs de Noaya avec ton agenda professionnel.
  • Notion (read-only). Scopes read:database, read:page. Finalité : lire les pages produit et la documentation interne que tu connectes pour donner du contexte aux agents.
  • Klaviyo (read-only, API key). Finalité : performances email pour Keep. La clé est stockée chiffrée, jamais loggée.
  • Triple Whale (read-only, API key). Finalité : attribution consolidée pour Track. La clé est stockée chiffrée, jamais loggée.

Aucune donnée personnelle des clients finaux du Marchand (acheteurs, prospects) n'est utilisée pour du marketing, du remarketing ou de l'entraînement d'IA partagée.

Données techniques

  • Logs serveur (IP, user-agent, timestamps) - conservés 30 jours pour la sécurité
  • Cookies strictement nécessaires : session d'authentification uniquement

3. Finalités & bases légales

  • Exécution du contrat - fournir le Service (comptes, intégrations, analyses, agents IA).
  • Consentement - pour chaque connexion d'intégration externe via OAuth, le Marchand consent explicitement à l'accès aux données dans l'écran de permissions du fournisseur tiers.
  • Intérêt légitime - sécurité, prévention de la fraude, amélioration du Service.
  • Obligation légale - facturation et conservation des justificatifs comptables (10 ans).

4. Sous-traitants & transferts

Noaya s'appuie sur les sous-traitants suivants. Chaque transfert hors UE est encadré par des Clauses Contractuelles Types (CCT) de la Commission européenne et, le cas échéant, par le cadre EU-US Data Privacy Framework (DPF).

  • Vercel Inc. (hébergement web), États-Unis, DPF + CCT.
  • Supabase (base de données Postgres + Storage), Union Européenne (eu-west-1, Irlande).
  • Anthropic (LLM Claude pour les agents), États-Unis, DPA + CCT. Rétention 30 jours côté Anthropic. Aucune donnée n'est utilisée pour entraîner les modèles.
  • OpenAI (génération d'images Voice via gpt-image-1), États-Unis, DPA + CCT. Pas de stockage durable côté OpenAI, pas d'entraînement.
  • Resend (emails transactionnels), Union Européenne, DPA en place.
  • Stripe Payments Europe (paiement), Union Européenne (Irlande).

Noaya ne vend, ne loue, et ne partage aucune donnée à des fins publicitaires. Les données d'un Marchand ne sont jamais agrégées, croisées ou exposées à un autre Marchand.

5. Conservation

  • Données de compte : tant que ton compte est actif. Suppression dans les 30 jours suivant la résiliation.
  • Données d'intégrations : tant que la connexion est active. Déconnexion ou résiliation déclenche une suppression en cascade dans les 30 jours.
  • Logs : 30 jours.
  • Audit gratuit : l'email laissé pour recevoir un audit de landing est conservé 12 mois maximum, puis supprimé automatiquement.
  • Justificatifs comptables : 10 ans (obligation légale française).

6. Tes droits (RGPD)

Tu disposes des droits suivants sur tes données personnelles :

  • Accès, rectification, effacement
  • Limitation, opposition au traitement
  • Portabilité (export de tes données dans un format structuré)
  • Retrait du consentement à tout moment (déconnexion d'une intégration)
  • Réclamation auprès de la CNIL

Pour exercer ces droits : hello@noaya.app. Réponse sous 30 jours.

7. Sécurité

  • HTTPS sur toutes les communications
  • Tokens d'intégration chiffrés au repos
  • Row-Level Security (RLS) sur la base Postgres : isolation stricte par organisation
  • Authentification : mots de passe hachés (bcrypt), sessions httpOnly
  • Aucun accès humain en lecture aux données des Marchands sans demande explicite (support)

8. Cookies

Noaya n'utilise aucun cookie de tracking publicitaire ou analytique tiers. Seuls des cookies strictement nécessaires sont déposés :

  • session - authentification (durée : 30 jours)
  • Cookies temporaires OAuth pendant les flows de connexion (durée : 10 minutes)

9. Conformité Google API Services (Limited Use)

L'usage par Noaya, et le transfert vers toute autre application, des informations reçues des API Google adhèrent à la Google API Services User Data Policy, y compris les exigences Limited Use (en anglais dans la politique : Noaya's use and transfer of information received from Google APIs to any other app will adhere to the Google API Services User Data Policy, including the Limited Use requirements). Cela s'applique aux scopes https://www.googleapis.com/auth/adwords, https://www.googleapis.com/auth/analytics.readonly et https://www.googleapis.com/auth/calendar.readonly. Concrètement :

  • Les données Google Ads, GA4 et Calendar sont utilisées uniquement pour fournir ou améliorer les fonctionnalités visibles par le Marchand.
  • Aucune publicité personnalisée n'est dérivée de ces données.
  • Aucun transfert à un tiers, sauf sous-traitants techniques listés au §4.
  • Aucune lecture humaine, sauf consentement explicite, sécurité, ou obligation légale.
  • Les données ne sont jamais utilisées pour entraîner des modèles d'IA généralistes.

9 bis. Conformité Meta Platform (Data Use)

Noaya utilise la Meta Marketing API (scope ads_read) uniquement pour agréger les insights publicitaires du Marchand dans l'agent Attract. Aucune re-identification, aucun ciblage publicitaire, aucun croisement entre Marchands. Instructions de suppression des données Meta : privacy@noaya.app (réponse sous 30 jours) ou via la déconnexion de l'intégration dans ton dashboard, qui déclenche une suppression en cascade dans les 30 jours.

9 ter. Conformité Shopify Protected Customer Data

Pour les scopes Shopify read_orders et read_customers, Noaya applique les exigences Protected Customer Data niveau 1 : chiffrement at-rest et in-transit, isolation Postgres RLS par organisation, journalisation des accès administrateur, rétention alignée sur la durée du contrat plus 30 jours, suppression en cascade à la désinstallation de l'app.

10. Modifications

Cette politique peut évoluer. La date de dernière mise à jour est indiquée en haut de la page. Les changements substantiels seront notifiés par email aux Marchands actifs.

11. Contact

Pour toute question : hello@noaya.app